リスクアセスメントとは

ISMSを構築するにあたり、リスクアセスメントを実施する必要があります。「何を対象として対策を行うのか」また「どの程度行うのか」ということがリスクアセスメントを決定する上で重要な作業になります。今回のテーマでは、このリスクアセスメントの要求事項について解説していきます。

　ISMS規格要求事項
　ISMS要求事項事項の解説

要求事項
『組織は、次の事項を行なわなければならない。
　リスクアセスメントの体系的なアプローチを定義すること。
　リスクを識別すること。
　リスクアセスメントを行うこと。
　リスク対応のための選択肢を識別し、評価すること。』（BS7799-2:2002　ISMSの確立　4.2.1c〜fより引用）

1.リスクアセスメントの方法の特定

リスクアセスメントにはさまざまな手法があります。ISMS規格では特定のリスクアセスメント手法は指定されておらず、組織にとって最適な手法を選択または開発すればよいとされています。

いくつか参考になる手法を紹介します。
　・GMITS (Guidelines for the Management for IT Security ) ISO/IEC TR 13335:1998
　・DISK PD3002:1998 (Guide to BS7799 Risk Assessment and Risk Management)
　・CRAMM (CCTA Risk Analysis Management Methodology)
　・FTA (Fault Tree Analysis)
　・JRAM/JRMS (JIPDEC Risk Analysis Method)
　・NIST SP800 (National Institute of Standards and Technology)

2.リスク受容レベルの設定

リスク受容レベルの設定とは、言い換えると、「組織のセキュリティレベルをどこまで上げるか」ということの目標設定になります。この目標を明確にすることで、特定されたリスクに対し、対策する要否が明確になります。すべてのリスクに対して対応することはコストの面から考えても、効果の面から考えても現実的ではありません。特に第三者認証を受ける場合には、限られた時間、限られた予算でISMSを構築しなければならないため、迅速な判断が可能になります。
このリスク受容レベルは、定量的にレベルを明示して「レベル○○以下のリスクは受容可能」とする考え方と、定性的に表現し「お客様にご迷惑をかけないリスクに関しては受容可能とする」といった考え方があります。

3.リスクの識別

リスクを識別する場合の材料としては次のものがあります。

　a.適用範囲の中の資産およびそれらの所有者
　b.資産に対する脅威
　c.脆弱性
　d.資産にあたえる影響

リスクを識別する目的は、リスクを評価する場合、どのような情報や資産があるのか。また、どのような脅威が起こりえて、脅威に対してどのような脆弱性が考えられるのか。脅威を評価した結果として、どのような影響を会社が受ける可能性があるのか。これらを明確にしておくことで、リスクアセスメントを適切に、効率的に行うことができます。

4.リスクレベルの算定

どのリスクアセスメント手法を選択するかによって、リスクレベルの算出方法は大幅に異なります。定量的にリスクレベルを算定する場合もあれば定性的の場合もあります。算定の際に評価すべき項目は次のものがあります。

　a.セキュリティ上の脅威が発生した場合の資産への影響
　b.セキュリティ上の脅威の発生する可能性

現在実施されている管理策を考慮して、リスクレベルを算定する必要があります。

5.対応方針の決定

リスクレベルが算定されたら、対応方針を決定します。対応方針には、下記の選択肢があります。

　a.軽減
　管理策を採用し、リスクの発生可能性や、リスクによってもたらされる影響を低減する。
　b.受容
　受容レベル基準を明確に満たす場合は、リスクを受け入れる考え方。
　また、管理策を採用しても、新しい脅威が発生する場合や、リスクが残留してしまう場合もある。
　c.回避
　リスクの発生可能性を根本的になくす。例えば、書類による漏えいというリスクがあるならば、書類での業務
　をやめて、すべて電子化してしまうといったものがこれにあたる。
　d.移転
　関連する事業リスクを、保険業者、外部委託業者といった他の関係者へ移転すること。例えば、情報セキュ
　リティ保険に加入する、または業務をアウトソーシングするなど。